NTFS全面解决Win 2000安全方案(2)
日期:2007-03-04 荐:
NTFS许可及其对应的许可操作 1.文件许可介绍: (1)READ(读):读取文件,查看文件属性。文件所有者和文件许可。 (2)WRITE(写):改写文件,改变文件属性,查看文件所有者和许可。 (3)READ及EXECUTE(读取和执行):除了具有读的许可外,还可执行文件。 (4)MODIFY(修改):除了具有WRITERREAD技EXECUTE许可外,还可以修改和删除文件。 (5)FULL CONTROL(完全控制):除了具有以上许可外,还可以修改许可,获取文件的所有权。 2.文件夹许可:除了具有以上的许可外,还有一条,就是"列出文件夹目录",它允许用户可以查看目录。 3.宏观ACE:这个概念没有人用过,但是为了方便,我暂且使用它。对于某些用户或者是某些组设定的许可的组合,它实际上最终就是修改了内部的ACE数据结构,所以我称之为宏观ACE。显然,针对一个文件 (夹)所作的多条宏观ACE,最终将修改ACL,它们的查看方法如下:在你要查看的对象上,点击有键/属性/安全页,如图1所示 图1安全对象的安全页 针对这个对象,只有一个ACE,即对Everyone组设置的。也就是说,现在的ACT.中有一个ACE构成。 4.当ACT.中有多条ACE存在时,如何判定最终的访问许可。 这是一个比较复杂的问题,比如说,我们设置了Everyone组对文件夹test只读的许可,对用户Ad-ministrator设置了完全控制的许可,那么用户Anministrator最终的许可是什么?对于这类问题的解决,我们有3条原则,分别是:多个组被赋予的不同的许可是可以累加的(针对组之间的许可冲突);文件的许可优先于目录的许可 (针对文件夹和文件的许可冲突);拒绝访问许可优先 (针对用户和它所属的组许可冲突)。 对于上面提出的问题,我们该如何来理解呢?实际上,Everyone组在设置只读许可的同时,将其他的许可 (如完全控制)也隐含地拒绝了。因为Administrator在访问对象时,要隶属于Everyone组,根据第三条原则 (拒绝访问许可优先)可以知道,Adminsitrator对这个对象的许可是只读。 再来看一个问题:如果现在针对组Ad-ministrators又在test对象上设置了一个ACE,允许Administrators组对test的完全控制,现在请问Administrator用户的对test的许可是什么,是只读还是完全控制? 对于这个问题,我们要依据第一条原则,Administrator用户同时属于Administrators和Everyone组,把它们的许可累加,显然,Administrator用户获得了对test的完全控制的许可。 读者在实际中碰到诸如此类的问题时,可以灵活运用以上的3条原则,做出有利于安全的决策。 5.DACL和SACL能够看到吗? 答案是肯定的!方法是:右键点击 "对象->属性->安全页->高级",如图2所示。 图2高级页面 其中,"权限"页的列表便是DACL,"审核"页的列表便是SACL.用户可以自已动手操作一下看一看. 6.所有者变更 来看这样一个问题"在AAA公司的某台电脑中,用户USER001创建了一个重要文件FILE001,并且只允许它自已完全控制.当用户USER001辞职以后,公司如果想读取这个文件,管理员有没有办法?答案也是肯定(没有管理员办不到的事情,呵呵)! 这里需要经过两步: 首先,以管理员身份登录,打开如图2所示的对话框,选择"所有者"页,如图3所示。选中"替换子容器及对象的所有者","应用"之后,你就可以看到提示,依次继续下去就可以了。取得所有权之后,在所有者页面中会留下如图3所示的页面(注意:只有管理员组的成员才有这个权限),以记录是谁取得了所有者权限。然后,就可以在安全页面中设置你想要的ACK,进行访问控制了。 图3所有页面 (未完待续)
标签: